Er is een oude Windows-kwetsbaarheid opgedoken die nog altijd misbruikt kan worden, ondanks eerdere beveiligingsupdates van Microsoft. Onderzoekers hebben namelijk een nieuwe proof-of-concept gepubliceerd waarmee aanvallers via een registerhack systeemrechten kunnen verkrijgen op recente Windows-versies, waaronder Windows 11 met de nieuwste KB5089549-update.
De exploit, die online verscheen onder de naam MiniPlasma, richt zich op een onderdeel van Windows 11 dat cloudbestanden beheert. Volgens de onderzoekers zou het probleem verband houden met een kwetsbaarheid die al in 2020 werd gemeld door Google Project Zero en destijds als opgelost werd beschouwd.
De aanval draait rond cldflt.sys, de Windows Cloud Files Mini Filter Driver. Dat systeemonderdeel zorgt ervoor dat functies zoals OneDrive Files On-Demand correct werken. Windows gebruikt die driver om zogenaamde placeholderbestanden te beheren: bestanden die zichtbaar zijn in Verkenner maar pas lokaal worden gedownload wanneer je ze opent.
Volgens de ontwikkelaar achter MiniPlasma blijkt net daar nog steeds een zwakke plek te zitten. Door misbruik te maken van bepaalde registerinstellingen kan een gebruiker met beperkte rechten zichzelf uiteindelijk promoveren naar SYSTEM-niveau, het hoogste rechtenniveau binnen Windows. Het nieuwe proof-of-concept toont hoe de exploit willekeurige registersleutels kan plaatsen in de .DEFAULT-gebruikershive van Windows. Van daaruit kan een aanvaller een SYSTEM-shell openen en volledige controle over het systeem krijgen.
Opvallend is dat de oorspronkelijke exploit van Google Project Zero volgens de onderzoeker nog steeds werkt zonder aanpassingen. Dat roept vragen op over de eerdere patch van Microsoft. Officieel kreeg de kwetsbaarheid jaren geleden al de status ‘opgelost’, maar de nieuwe bevindingen suggereren dat de fix mogelijk onvolledig was of later opnieuw kwetsbaar werd.
Beveiligingsonderzoeker Will Dormann bevestigde ondertussen dat de exploit effectief werkt op actuele Windows-versies. Op recente Insider Canary-builds van Windows 11 zou het probleem echter niet meer reproduceerbaar zijn. Dat kan erop wijzen dat Microsoft intern al aan een nieuwe oplossing werkt.
Voorlopig lijkt er nog geen officiële patch beschikbaar voor reguliere Windows-gebruikers. Omdat het om een lokale privilege-escalatie gaat, moet een aanvaller wel al toegang hebben tot het systeem, maar eenmaal uitgevoerd kan de exploit volledige controle opleveren. Dat maakt het vooral relevant voor malware, kwaadaardige scripts of aanvallen waarbij een pc al gedeeltelijk gecompromitteerd is.
Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.
Krijg Clickx magazine 10 keer per jaar (waarvan 2 extra dikke dubbelnummers) keurig thuisbezorgd.
